CZ ชี้อาจมีข้อมูลรั่วจาก 3Commas ! เตือนผู้ใช้ให้ปิดการใช้งาน API Key ในทันที

ติดตามสยามบล็อกเชนบน

ในวันนี้ (29 ธันวาคม) Changpeng “CZ” Zhao ได้ออกมาโพสต์ทวีตเตือนนักลงทุน โดยกล่าวว่า เขาค่อนข้างมั่นใจว่ามีข้อมูล API Key หลุดจาก 3Commas เป็นวงกว้าง “หากคุณใช้ API Key กับ 3Commas ไม่ว่าจะจากกระดานเทรดใด ได้โปรดปิดการใช้งานในทันที”

I am reasonably sure there are wide spread API key leaks from 3Commas. If you have ever put an API key in 3Commas (from any exchange), please disable it immediately.

Stay #SAFU.
— CZ 🔶 Binance (@cz_binance) December 28, 2022

API (Application Program Interface) Key คือ ตัวเชื่อมระหว่างซอร์ฟแวร์ต่าง ๆ และกระดานเทรด โดยตัว API Key เป็นชุดโค้ดที่อนุญาตให้ซอร์ฟแวร์นั้น ๆ สามารถเข้าถึงข้อมูล API และ back-end ได้ ซึ่งในปัจจุบัน กระดานเทรดหลายแห่งได้บอกวิธีสร้าง API Key เอาไว้ เพื่อความสะดวกสบายของผู้ใช้งานในการนำไปใช้กับซอร์ฟแวร์ที่ต้องการ

หลังจาก CZ ไปโพสต์ทวีตออกไป บัญชีผู้ใช้ Twitter ก็ได้เข้ามาแสดงความเห็นกันอย่างล้นหลาม โดย SimpleCryptoGuide บัญชีให้ความรู้ด้าน Crypto ได้ถามถึงความเป็นไปได้ในการการตัดการเชื่อมต่อระหว่าง API Key ของ Binance ทั้งหมดกับซอร์ฟแวร์ที่เชื่อมโยงอยู่ด้วยเหตุผลด้านความปลอดภัย ซึ่ง CZ ก็ได้ตอบว่า ทาง Binance กำลังพยายามทำแบบนั้นอยู่ แต่มีอุปสรรคตรงที่พวกเขาไม่รู้ว่าผู้ใช้งาน API ได้เชื่อมต่อ API Key เข้ากับซอร์ฟแวร์ไหนบ้าง

We are trying, but we don't know which APIs users share with which other platforms.
— CZ 🔶 Binance (@cz_binance) December 28, 2022

Dyma Budorin ผู้ก่อตั้งและ CEO ของ hacken.io บริษัทตรวจสอบภายในด้านความปลอดภัยของระบบบล็อกเชน ได้แสดงความคิดเห็นบนทวีตนี้ด้วย โดยกล่าวว่า ข้อมูล API Key มีการรั่วไหลมามากกว่าปีแล้ว พร้อมแนะนำให้ Binance และกระดานเทรดอื่น ๆ ทำการปิดการใช้งาน API Key ที่นานกว่า 3 เดือนขึ้นไปทั้งหมด

Leaked keys are more than a year old. Best move would be @binance and other exchanges to disable all api keys older than 3 months
— Dyma Budorin 🇺🇦 (@buda_kyiv) December 28, 2022

หลังจาก CZ ได้โพสต์ทวีตเตือนราว 1 ชั่วโมง Yuriy Sorokin ผู้ก่อตั้งและ CEO ของ 3Commas บอทเทรด Crypto ที่มีผู้ใช้งานเป็นจำนวนมาก ได้ออกมายอมรับว่า ทาง 3Commas ได้รับข้อความจากแฮ็กเกอร์ และประสานงานกับกระดานเทรดต่าง ๆ ที่รองรับ 3Commas ให้ทำการปิดใช้งาน API Key ที่เชื่อมต่อกับ 3Commas ทั้งหมดในทันที ทั้งยังทำการสอบสวนพนักงานภายในบริษัทที่สามารถเข้าถึงข้อมูลได้ แต่ยังไม่สามารถหาตัวผู้กระทำผิดได้ ซึ่งสิ่งนี้ได้สร้างความไม่พอใจให้แก่เหล่านักลงทุนที่ได้รับผลกระทบเป็นอย่างมาก

4. Since then, we have implemented new security measures and will not stop there; we are launching a full investigation involving law enforcement.

We are sorry that this has gotten so far and will continue to be transparent in our communications around the situation.
— Yuriy Sorokin (@YS_3Commas) December 28, 2022

ก่อนหน้านี้ ในวันที่ 23 ธันวาคม Yuriy Sorokin ได้ออกมากล่าวโทษผู้ใช้งานว่า “หากข้อมูล API Key ของคุณรั่วไหลออกไป ไม่ได้หมายความว่าข้อมูลเหล่านั้นมาจาก 3Commas” ทั้งยังกล่าวด้วยว่า เขาเข้าใจว่าการโทษ 3Commas อาจจะง่ายกว่า แต่มันไม่ได้ช่วยแก้ปัญหาอะไร เพราะคนที่สามารถช่วยจับตัวคนร้ายได้คือตำรวจ

you gonna delete these? pic.twitter.com/BwbJkJy8oC
— Daniel Roberts (@readDanwrite) December 28, 2022

ในขณะนี้ เหล่าผู้เสียหายจากการที่ API Key ถูกแฮกไปได้ออกมาเรียกร้องให้ 3Commas คืนเงินให้แก่ผู้ใช้งานที่ได้รับผลกระทบพร้อมขอโทษ จากการที่ทางบริษัทเคยปฏิเสธและกล่าวโทษผู้ใช้งานจากการที่ API Key มีการรั่วไหลออกไปเมื่อก่อนหน้านี้ ทำให้ผู้ใช้งานต้องสูญเงินไปถึง 14.8 ล้านดอลลาร์

อ้างอิง:

Cointelegraph

Cryptoslate